В результате исследований специалистов компании Core Security Technologies были найдены две серьёзные уязвимости в программных продуктах Cisco, принадлежащих к линейке ПО WebEx.
Первая уязвимость была найдена в проигрывателе Cisco WebEx, предназначенного для воспроизведения презентаций в формате WRF, которая приводила к переполнению стека, дающая возможность запустить произвольное приложение. А вторая – в программе WebEx Meeting Center, предназначенной для проведения интерактивных опросов участников онлайн-конференций. В результате небольшого изменения кода в XML-файле и использовании его при создания опроса во время презентации, удалось получить контроль над компьютерами участников конференции.
Результаты исследований были направлены компании Cisco ещё в начале октября прошлого года. “Дыра” в WebEx Meeting Center была исправлена в начале января, а обновление безопасности для WebEx вышло только вчера.
WebEx Meeting Center – это продукт типа SaaS (программное обеспечение как услуга), следовательно клиентам нет необходимости устанавливать обновление. В тоже время как ПО WebEx, которое ещё доступно для загрузки на сайте производителя, нуждается в перестановке. Пользователю нужно самостоятельно загрузить установочный пакет, удалить старую версию и поставить новую.